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La presents invention se situe dans le domains de la securisation des 
appareils electroniques, et plus precisement dans oelui de la protection de ces 
appareils contre des manipulations frauduleuses et des attaques a leur integrite. 

On connait princlpalement deux types d'attaque, a savofr les attaques de 
type logiciel d'une part et celles par ajout ou substitution de composants 
materiels d'autre part. 

Pour parer aux attaques logicielles. on connaTt des outils dits de haut 
niveau, c'est-a-dire operant au-dessus des couches du systeme d'exploltation 
(antivirus, pare-feu, etc.). 

IVlalheureusement, ces outils meme performants, presentent une fragiiite 
Importante dans le sens oD lis peuvent etre desactives ou contoumes avant 
meme leur chargement en memoire. 

Un consortium nomme « Trusted Computing Group » (TCG) vise a palier 
cet inconvenient en foumissant des outils et des methodes de protection des 
couches logicielles basses. 

TCG propose en particulier une methods de verification de I'authenticite 
du BIOS (Basic Input Output System) d'un ordlnateur personnel avant son 

lancement. 

Une telle m6thode utilise a cette fin un code de confiance CRTM (Core 
Root of Trust Measurement en anglais), ce code CRTM etant execute a la mise 
sous tension de I'ordinateur pour calculer une signature du BIOS. 

Ce code de confiance CRTM constitue ainsi la base de toute la chatne de 
s^curite logiclelle dans I'equipement. et doit done etre protege lui aussi contre 
les attaques. 

Afin d'assurer la protection de ce code CRTM, il est traditionnellement 
pr^vu d'implementer celui-ci dans un secteur specifique d'une memoire de type 
flash installee sur la carte mere de I'equipement. 

L'inconvenient d'une telle solution est que la modification de ce code de 
confiance CRTM, pour une mise a Jour par exemple. est impossible sans 
intervention physique sur la carte mere, comme le d6crit le document IBM US 
2003/0135727 publie le 17 juillet 2003. 

Ce document propose une premiere solution k ce probleme consistant a 
.mpl6menter le code de confiance (CRTM) dans une carte accessoire a la carte 
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mere (feature card en anglais), cette carte accessoire comportant son propre 
BIOS. Les mises a jour peuvent alors s'effectuer simplement par remplacement 
physique de cette carte accessoire. 

Si cette solution est acceptable dans le cadre des specifications elaborees 
5 par TCG, on comprend qu'elle ne Test plus du tout lorsque Ton veut etendre la 
protection des boot loader et des BIOS au second type d'attaques, les attaques 
materielles, du fait d'un utilisateur ou d'un tiers (console de jeux, code IMEI et 
SIM lock des GSM notamment). 

Cette solution presente en effet un inconvenient majeur pour ce cas de 
10 protection etendue, puisqu'il suffit de retirer cette carte accessoire pour 
desactiver I'ensemble des fonctions de securite de I'equipennent. 

La demanderesse s'est attachee a resoudre le probleme precite en le 
generaiisant a tout appareii electronique, a savoir rendre possible la 
modification, dans le but de mise a jour, du code de demarrage {boot loader) 
15 dans la memoire flash sans intervention physique, tout en protegeant ce code 
des manipulations frauduleuses (remplacement, modification). 

La demanderesse propose une solution au probleme precedent basee sur 
le controle de I'acces en ecrtture a la memoire flash comportant le code de 
demarrage. 

20 D'une fagon plus generate, ce probleme consiste a controler I'acces a une 

memoire ou un peripherique d'un processeur, que celui ci soit embarque ou non 
dans le processeur, 

A cet effet, I'invention consiste a utiliser un programme informatique 
constituant un point unique d'acces au peripherique, preferentiellement situe 
25 dans une zone sure et controlee du processeur, et controlant en cooperation 
avec une unite materielle, le signal eiectrique d'acces a ce peripherique. 

Plus precisement, et selon un premier aspect, invention vise une unite 
materielle de controle d'acces a un peripherique. 
Cette unite materielle comporte : 
30 - des moyens d'obtention d'un code d'autorisation d'acces au 

peripherique ; 

- des moyens de comparaison de ce code d'autorisation d'acces avec une 
valeur de reference predetermlnee ; et 
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- des moyens, dits de validation, adaptes a generer un signal electrique 
de validation d'un signal electrique d'acces k ce perlpherique en fonction du 
resultat de cette comparaison. 

^invention pemnet ainsi de controler Tacces au peripherique d'un 
5 processeur en validant au plus bas niveau, et de fapon mat^rielle, le signal 
electrique d'acces a ce peripherique. Ce peripherique peut notamment etre 
choisi parmi un ecran, un clavier, une memoire, un controleur d'une interface de 
communication, une unite de gestion memoire (MMU) ou une unite de protection 
de memoire (MPU). 

10 Dans la suite de ce document, nous appellerons "peripherique" tout type 

de composant electronique (ecran, clavier, memoire, interface de 
communication, interface de carte a puce, MMU, MPU, que ceux-ci soient 
discrets ob "integres" dans des FPGA ou ASIC. 

De meme, nous appellerons "signal electrique d'acces" tout signal 

15 electrique devant etre active pour la selection (signal de type « ChipSelect », 
CS) du peripherique ou Tecriture (signal de type "WRITE-ENABLE", WE) sur ce 
peripherique. 

Conformement a la presente invention, un acc^s au peripherique ainsi 
protege n'esl possible que sur presentation a Tunite materielle de controle 
20 d'acces audit peripherique d'un code d'autorisation d'acces compatible avec la 
valeur de reference predeterminee connue de cette unite materielle. 

L*invention permet ainsi notamment la protection d'une memoire dite 
securisee, du type par exemple de celle contenue dans un telephone mobile 
conforme a la norma GSM pour la memorisation des conditions commerciales 
25 souscrites par abonnement avec un operateur (SIM Lock). 

La substitution frauduleuse de ces regies SIM-Lock ne deviant possible 
que sur presentation d'un code d'autorisation d'acces valide a I'unite materielle 
de controle de I'acces a cette memoire. 

L'invention permet aussi de mettre a jour le BIOS ou le systeme 
30 d'exploitation d'un appareil, a distance. On pourra done aisement mettre a jour 
les telephones portables, et ce, directement avec la liaison sans fil GSM, sans 
que le client ne se deplace vers un centre de mise a jour. 
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L'invention peut ainsi etre utilisee pour empecher toute modification 
frauduleuse du BIOS d'un PC, ce qui augmente grandement la securite de ce 
PC, notamment quand le BIOS contient des mecanismes de securite de plus 
haut niveau. 

Preferentiellement, l'unit§ materielle de controle d'acces selon l'invention 
comporte des moyens de declenchement d'une interruption non masquable 
d'alarme, lorsque le code d'autorisation d'acces est different de la vaieur de 
reference predetermin§e. 

Cette caracteristique permet ainsi, par traitement de cette interruption 
d'alarme, d'empecher toute attaque dite « en force brute », a savoir des attaques 
consistant a presenter des code d'autorisation d'acces, jusqu'a la presentation 
d'un code fortuitement identique a la vaieur de reference predeterminee. 

Dans une premiere variante de realisation, la vaieur de reference 
predeterminee est une constante. 

Cette variante est particulierement simple a mettre en oeuvre. El!e permet 
deja de se pr§munir centre toute attaque venant d'un tiers qui ne connaitrait pas 

ia constante pr^citee. 

Dans une deuxieme variante de realisation, I'unite materielle de controle 
d'acces selon l'invention comporte des moyens de generation de la vaieur de 
reference precitee selon une loi predeterminee. 

Cette caracteristique perniet avantageusement de renforcer le contrdle 
d'acces au peripherique car seul un pirate connaissant ia lol predeterminee 
pourrait etre en mesure de presenter un code d'autorisation d'acces valide a 
I'unite materielle de controle d'acces. 

Dans un mode prefere de cette deuxieme variante de realisation, la vaieur 
de reference predeterminee est un compteur initialise a la mise sous tension de 
I'unite materielle, et la loi predeterminee consiste a incrementer ce compteur a 
chaque obtention du code d'autorisation d'acces. 

La mise en oeuvre de cette loi predeterminee peut notamment etre 
realisee par un compteur associe k un automate d'etats finis, ce qui evite 
I'utilisation plus onereuse d'un (co-)processeur, et limite le cout de fabrication de 
I'unite materielle dans son ensemble. 
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Dans un mode de realisation prefere, Tunite materielle oonforme a 
I'invention comporte : 

- des moyens de declenohement d'une interruption non masquable de 
controle et ; 

5 - des moyens d'obtention du code d'autorisation d'acces (Code-AA) 

precite consecutivement a ce declenchement. 

Cette caracteristique permet de renforcer le contrSle d'acces au 
peripherique car elle permet de s'assurer que le code d'autorisation d'acces est 
vegu de facon certaine en provenance d'un organe de confiance constitue par la 
10 routine d'interruption de controle. 

Dans la premidre variante de realisation precit§e, la routine d'interruption 
de controle peut ainsi autoriser Tacces au peripherique en envoyant simplement 
la constante, a Tunite materielle de controle. 

Selon une autre caracteristique avantageuse, les moyens de validation de 
15 Tunite materielle de controle d'acces au peripherique comportent des moyens de 
combinaison logique adaptes a : 

- recevoir un signal electrique de demande d'acces a ce peripherique ; 

- recevoir le signal de validation; et 

- valider le signal electrique d'acces en fonction d'un etat du signal 
20 electrique de demande d'acces, d'un etat du signal de validation, et d'une 

logique representee dans une table de verite. 

Selon cette caracteristique, on valide ainsI Tacces au peripherique lorsque 
deux conditions sont reunies, a savoir d'une part la presence d'une demande 
d'acces au peripherique par un composant tiers, par exemple un processeur, et 
25 d'autre part lorsque le resultat des comparaisons precitees est representatif de 
j'obtention d'un code d'autorisation d'acces valide par Tunite materielle du 
controle. 

Preferentiellement le signal d'acces resulte de !a combinaison "ET 
logique" entre le signal de demande d'acces et le signal de validation. Ce moyen 
30 de realisation est particulierement aise a mettre en oeuvre. 

Dans un mode prefere de realisation, Punite materielle de controle d'acces 
selon rinvention, comporte des moyens de lecture d'un etat du signal electrique 
de demande d'acces, et des moyens de declenchement d'une interruption non 
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masquable d'alarme en fonction de cet etat et de I'etat du signal electrique de 
validation d'acces. 

Cette caracteristlque permet avantageusement de declencher une 
interruption non masquable d'alarme, lorsque I'etat du signal electrique de 
demande d'acces est representatif d'une demande d'acces au peripherique, 
sans qu'un code d'autorisation d'acces n'ait ete presente a I'unite materielle de 
contr61e d'acces. 

Dans un mode prefere de realisation, I'unite materielle de controle d'acces 
selon I'invention comporte des moyens d'inhibition du signal de validation, cette 
inhibition 6tant preferentiellement effectu^e consecutivement a un ou plusieurs 
acces au peripherique. 

Cette caracteristique permet avantageusement de renforcer le contrdle 
d'acces au peripherique, puisque celui-ci doit s'exercer regulierement, voire 
meme avant chaque acces au peripherique. 

Dans un autre mode de realisation, I'inhibition du signal de validation est 
effectuee apres un delai predetermine compte a partir de la generation du signal 
electrique de validation d'acces, oCi k partir de I'obtention du code d'acces. 

Cette caracteristique permet avantageusement d'autoriser I'acces au 
peripherique sans contr61e durant ce delai. ce qui ameliore les performances 
globales du systeme. Cette caracteristique est particulierement interessante 
lorsque le volume de donnees echangees avec ce peripherique est important 
comme dans le cas d'un 6cran. 

Correlatlvement, I'invention vise un precede de contrdle d'acces a un 
peripherique, ce precede comportant les etapes suivantes : 

- obtention d'un code d'autorisation d'acces au peripherique ; 

- comparaison du code d'autorisation d'acces avec une valeur de 
reference predeterminee ; 

- generation d'un signal electrique de validation d'un signal d'acces au 
peripherique en fonction du resultat de cette etape de comparaison. 

Preferentiellement, le procede de controle d'acces selon I'invention 

comporte en outre : 

- une etape de declenchement d'une interruption non masquable de 

controle; et 
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- une etape d'obtention du code d'acces consecutivement audit 
declenchement* 

Comme decrit precedemment, cette caracterlstique permet de renforcer le 
controle d'acces au peripherique car elle permet de s'asstirer que le code 
5 d'autorisation d'acces est regu de fagon certaine en provenance d'un organe de 
confiance constitue par la routine d'interruption de controle. 

Preferentiellement, Tetape de declenchement d'une interruption non 
masquable de controle est effectuee consecutivement a une etape d'obtention 
d'un code de declenchement ; 
10 Cette caracterlstique permet encore de renforcer le controle d 'acces au 

peripherique car elle sollicitation de Tunite materielle de controle d'acces par un 
tiers qui ne oonnaTtrait pas le code de declenchement aboutirait a un 
declenchement d'alarme. 

Les avantages et caracteristiques particullers de ce precede de controle 
15 d'acces etant les memes que ceux decrits precedemment en reference a Tunite 
materielle de controle, ils ne seront pas rappeles ici. Ce precede consiste 
essentiellement a verifier la validite d'un ou plusleurs code d'autorisation d'acces 
en le comparant a des valeurs de reference predeterminees (constantes ou 
generees selon une loi), et a valider un signal electrique d'acces au peripherique 
20 en fonction de cette comparaison. 

Selon un autre aspect, I'invention concerne un processeur comportant une 
unite materielle de controle d'accfes telle que decrite brievement ci-dessus. 

Dans un mode prefere de realisation, ce processeur selon Tinvention 
comporte en outre des moyens d'envoi du code d'autorisation d'acces a Punlte 
25 materielle de controle d'acces. 

Dans ce mode prefere de realisation de I'lnvention, Tunite materielle de 
controle d'acces decrite precedemment est embarquee au sein d'un processeur, 
ce processeur comportant des moyens d'envoi a I'unite materielle de controle, du 
code d'autorisation d'acces a un peripherique donne. 
30 Ce mode prefere de realisation de Tinvention renforoe considerablement 

le controle de Tacces a ce peripherique, car il devient aiors impossible de 
contourner physiquement, ou autrement dit de shunter, Tunite materielle de 
controle d'acces. 
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Preferentiellement, le processeur selon I'invention comporte le 
peripherique auquel il protege I'acces. 

Ce peripherique peut notamment etre una unite de gestion de memoire. 

L'invention peut proteger ainsi I'acces a I'unite de gestion de la memoire 
5 (MMU). Ceci peimet de creer deux environ nements systemes rigoureusement 
stanches sur un meme processeur. Si de plus, on assure un espace d'echanges 
de donn^es contr6l§es entre ces deux environnements, Thomme du metier 
comprendra que I'on peut aisement construire des appareils dont certaines 
fonctions (systeme d'exploitation ou applications sensibles de type paiement, 
10 authentification, protection des droits des auteurs et de la copie) sont isolees des 
applications plus ouvertes et done plus sensibles aux attaques (Browser Intemet, 
chargement de jeux, de video, email etc.). 

Le peripherique contenu dans le processeur selon l'invention peut 
egalement etre un controleur d'ecriture dans la memoire d'amorgage du 
15 processeur. 

Ce mode prefere de realisation permet ainsi de securiser la memoire 
d'amorgage du processeur, cette protection rendant impossible la modification 
frauduleuse des donnees contenues dans cette memoire, zone dont la securite 
est tres critique en ce qu'elle heberge souvent des appels a des procedures de 
20 s^curisation de plus haut niveau. 

Correlativement, l'invention concerne un precede de gestion d'acces a un 
peripherique. Ce precede comporte une 6tape de mise en oeuvre d'une routine 
de controle associee a une Interruption non masquable de controle, ladite routine 
comportant une etape d'envol d'un code d'autorisation d'acces a une unite 
25 materielle de controle d'acces telle que decrite brievement ci-dessus. 

Dans une premiere variante de realisation, le code de controle d'acces est 
une constante, lue a partir d'une memoire protegee. 

Dans une deuxieme variante de realisation, le precede de gestion d'acces 
comporte en outre une etape de generation d'un code d'autorisation d'acces 
30 selon une lol predeterminee. 

L'homme du metier comprendra aisement qu'il est necessaire, dans cette 
premiere variante de realisation, de masquer toutes les interruptions, sans quoi 
un acces illiclte au peripherique pourralt etre effectue par une interruption mal 
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intentionnee dans Tintervalle de temps compris entre la lecture de la constante 
dans la memoire protegee et le declenchement de la routine d'interruption non 
masquable de controle. 

Les avantages et caraoteristiques particuliers de ce precede de gestion 

5 d'acces etant les m§nnes que ceux decrits brievement cl-dessus en reference au 
processeur selon I'invention, ils ne sont pas rappeles ici. Ce precede consiste 
essentiellement a fournir, en provenance d'un organe de confiance (a savoir le 
processeur mettant en ceuvre la routine d'interruption de controle) des codes 
d'autorisation d'acces, ces codes etant compares par Tunite materielle de 

10 controle avec des valours de reference predeterminees (constantes ou generees 
selon une loi) pour autoriser ou non Tacces au peripherique. 

L'invention vise aussi un programme informatique comportant une 
instruction d*acces a un peripherique et une instruction d'envoi d'un code de 
declenchement a une unite materielle de controle d'acces a ce peripherique telle 

15 que decrite brievement ci-dessus, prealablement a ['execution de cette 
instruction d'acces. 

Preferentiellement, ce programme Informatique comporle en outre des 
moyens de generation du code de declenchement selon la loi predeterminee de 
generation du code d'autorisation d'acces, 

20 Ce programme informatique constitue un point unique d'acces au 

peripherique, preferentiellement situe dans une zone sQre et controlee du 
processeur. Ce programme controle, en cooperation avec I'unite materielle, le 
signal electrique d'acces a ce peripherique. 

Uinvention vise aussi un processeur adapte k mettre en oeuvre un 

25 precede de controle d'acces, un precede de gestion d'acces, et/ou un 
programme informatique tels que decrits brievement ci-dessus. 

D'autres aspects et avantages de la presente invention apparaTtront plus 
clalrement a la lecture du mode particulier de realisation qui va suivre, cette 
description etant donnee uniquement a titre d'exemple non iimitatif et faite en 

30 reference aux dessins annexes, sur lesquels : 

- la figure 1 represente un processeur conforme a ['invention dans un 
premier mode de realisation, 
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- la figure 2 represents un processeur conforme a I'invention dans un 
deuxieme mode de realisation, 

- la figure 3 represente une unite materielle de controle d'acces conforme 
a I'invention dans un mode pref§r§ de realisation, 

5 - les figures 4a a 4d repr^sentent sous forme d'automates, les principales 

etapes de procedes de contrSle d'acc5s conformes a I'invention. 

- la figure 5 represente sous forme d'organigramme, les principales 
stapes d'une routine d'interruption de controle conforme a I'invention dans un 
mode prefere de realisation ; et 

10 - la figure 6 represente, sous forme d'organigramme, les principales 

etapes d'un programme aocedant a un peripherique protege, confomiement k la 

presente invention. 

L'exemple de realisation de I'invention decrit ici concerne plus 
particulierement la protection de I'acces a une memoire d'amoryage contenue 

15 dans un processeur. 

La figure 1 represente un processeur 110 conforme a I'invention dans un 

mode prefere de realisation, 

Le processeur 110 comports une memoire d'amorgage 120 (en anglais 
BOOT-ROM) et une memoire volatile RAM protegee. Cette memoire d'amorgage 
20 120 comporte une table de vecteurs d'interruption VECT, deux routines 
d'interruption, respectivement de controle IRT1 et d'alarme IRT2. et un 
programme informatique PROG. 

Ce programme informatique PROG est un programme de controle d'un 
peripherique P interne au processeur, un tel programme etant habituellement 
25 connu sous le nom de pilote (en anglais : « driver »). 

Dans le mode prefere de realisation decrit ici, le peripherique P interne au 
processeur est un controleur d'ecriture pour la memoire d'amorgage 120 
precitee. 

Le processeur 110 comporte une unite materielle 20 de controle d'acces 
30 au peripherique P, conforme a la presente invention. 

Cette unite materielle de contrdle d'acces 20 comporte des moyens 
d'obtention d'un code Code-DD de dedenchement et d'un code Code-AA 
d'autorisation d'acces au peripherique P. 
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Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acces Code-AA sent obtenus dans un m§me 
registre21. 

Dans le mode prefere de realisation decrit ici : 

- le code Code-AA d'autorisation d'acc6s est ecrit dans le registre 21 par 
la routine d'interruption de contrdle IRT1 ; et 

- et le code de declenchement Code-DD est ecrit dans le registre 21 par le 
pilote PROG du peripherique P. 

En effet, conformement a Tinventlon, avant cliaque instruction (WRITE, 
READ,...) d'acces au peripherique P, le programme informatique PROG ecrit un 
code de declenchement Code-DD dans le registre 21 de I'unite materielle 20. 

Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acces Code-AA sont deux valeurs successives 
d'une meme variable calculees selon la loi d'incrementation predetermin^e. 

Cette variable est memorisee dans une zone protegee de la volatile RAM 
du processeur. Cette memoire n'est accessible qu'au programme informatique 
PROG et a la routine d'interruption de controle IRT1 . 

L'unite materielle de contrdle d'acces 20 comporte egalement des moyens 
24 adaptes a generer, selon une loi pr^determlnee, une valeur de reference 
Code-UMCA lorsqu'un code d'autorisation Code-AA ou un code de 
declenchement Code-DD est ecrit dans le registre 21. 

Dans le mode prefere de realisation decrit ici, cette loi consiste a 
incrementer le compteur Code-UMCA, celui-ci etant initialise a la mise sous 
tension du processeur 110. 

L'unite materielle de controle d'acces 20 comporte egalement des moyens 
22 de comparaison du code d'autorisation d'acces Code-AA (et du code de 
declenchement Code-DD) obtenu dans le registre 21 avec la valeur de reference 
predeterminee Code-UMCA, calculee par les moyens 24 de generation de cette 
valeur. 

Dans le mode prefere de realisation decrit Id, ces moyens de 
comparaison 22 sont constitues par une logique cablee. 

Quoiqu'il en soit, ces moyens de comparaison 22 sont adaptes a envoyer 
un premier signal a une unite 26 de declenchement d'une interruption non 
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masquabie, lorsque le code de declenchement Code-DD est compare egal a la 
valeur courante du code de reference Code-UMCA. Ceci sera decrit 
ulterieurement en reference a la figure 4a. 

Sur reception de ce premier signal, les moyens 26 de declenchement 
5 d'une interruption non masquable generent un signal d'interruption non 
masquable NMI1. 

Sur reception de ce signal d'interruption non masquable NM11, le 
processeur execute, grace a la table de vecteur d'interruption VECT, la routine 
dinterruption de controie IRT1. 

10 Cette routine d'interruption de controie IRT1 met en CBUvre une fonction 

informatique Gen-Code adaptee a calculer une nouvelle valeur du code 
d'autorisation d'acces Code-AA selon une loi predeterminee, a memoriser cette 
nouvelle valeur dans la memoire protegee, et a ecrire cette nouvelle valeur 
Code-AA dans le registre 21 de I'unite materielle de controie d'acces 20. 

15 Cette loi predeterminee est identique a celle mise en CBUvre par les 

moyens 24 de generation de la valeur de reference Code-UMCA. Ainsi, dans le 
mode de realisation prefere decrit ici, cette loi est une loi d'incrementation et le 
code d'autorisation d'acces Code-AA est egal a la valeur du code de 
declenchement Code-DD plus un, 

20 Lorsque les moyens 21 d'obtention du code d'autorisation d'acces Code- 

AA regoivent ce code d'autorisation Code-AA en provenance de la routine 
d'interruption IRT1 de controie, les moyens 24 de generation d'une valeur de 
reference Code-UMCA generent une nouvelle valeur de reference selon la loi 
predeterminee d'incrementation. 

25 Ces deux nouvelies valeurs sont alors comparees par les moyens 22 de 

comparaison decrits precedemment. 

Conformement a Tinvention, les moyens 22 de comparaison sont adaptes 
a positionner une valeur representative du resultat de la comparaison de ces 
deux nouvelies valeurs dans une bascule 23 de I'unite materielle de controie 

30 d'acces 20. 

Dans Texemple de realisation decrit ici, nous supposerons que la logique 
cablee 22 positionne la valeur 1 dans la bascule 23 lorsque le nouveau code 
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d'autorisation d'acces Code-AA et la nouvelle valeur de reference predetermin^e 
Code-UMCA sont egaux, 

Ainsi, dans ce mode prefere de realisation ddcrit ici, le contenu de la 
bascule 23 est positionne a 1 lorsque les codes de declenchement Code-DD et 
5 d'autorisation Code-AA regus successivement en provenance du pilote PROG et 
de la routine d'interruption de controle IRT1 sont egaux aux deux valeurs de 
reference code-UMCA predeterminees generees par les moyens 24 sur 
reception des codes. 

Conformement a ce mode prefere de realisation, lorsque la bascule 23 est 
10 positionnee a 1, celle-ci genere un signal electrique de validation SIG-VAL a 
destination de moyens de combinaison logique 25 de Tunite materielle de 
controle d'acces 20. 

Ainsi dans ce mode prefere de realisation , le signal de validation SIG- 
VAL est genere, lorsque les deux conditions precitees sont reunies. 
15 Avant de transmettre le code de declenchement Code-DD a I'unite 

materielle de contrdle d'acces 20, le pilote PROG genere une nouvelle valeur 
selon la loi predeterminee, c'est-a-dire dans le mode d§crit ici, Tincremente, et 
memorise cette nouvelle valeur dans la memoire volatile RAM protegee. 

Le pilote du peripherique P execute ensulte une instruction d'acces au 
20 peripherique P. 

De fagon connue de Thomme du metier, cette instruction genere, en sortie 
d'un decodeur d'adresse 27, un signal electrique d'acces, de type Chip-Select 
CS a destination du peripherique P. 

Conformement a la presente invention, ce signal d'acces n'est pas 
25 directement transmis au peripherique P, mais vient en entree des moyens de 
combinaison logique 25 precites. 

Dans la suite de ce document, ce signal sera d^nomme signal electrique 
de demande d'acces CS-RQ. 

Les moyens de combinaison logique 25 qui regoivent en entree d'une part 
30 le signal electrique GS-RQ de demande d'acces au peripherique P et, d'autre 
part, le signal de validation SIG-VAL comportent egalement une table de verite 
adaptee, de fagon connue, a generer un signal d'acces de type « chip select » 
CS, a destination du peripherique P. 
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Cette table cle verite 25 perrnet en d'autres termes la validation du signal 
eleotrique d'acces au peripherique P, au sens de la presente invention. 

Dans le mode prefere de realisation decrit ici, le signal d'acces CS en 
sortie des moyens 25 de combinaison logique est foumi en entree de la bascule 
23. 

Dans ce mode de realisation, lorsqu'un acces au peripherique P est 
realist, c'est-^-dire lorsque I'etat du signal d'acces CS est haut, la valeur de la 
bascule 23 est remise a 0. 

Ceci a pour effet d'inhiber le signal de validation SIG-VAL en sortie de 
cette meme bascule 23 et done d'invalider tout acc6s au peripherique P. 

Dans un autre mode de realisation, le signal de validation SIG-VAL est 
inhibe non pas a chaque acces au peripherique P, mais de fagon cyclique, par 
exemple tous les cinq acces. 

Dans un autre mode de realisation prefere, le signal d'acces CS n'est pas 
reboucle sur la bascule 23, celle-ci etant adaptee a inhiber automatiquement le 
signal de validation SIG-VAL apres un delai predetermine compte a partir de la 
generation de ce meme signal, ou a partir de I'obtention du code de 
declenchement Code-DD. 

Dans le mode prefer^ de realisation decrit ici. les moyens de comparaison 
22 sont adaptes a envoyer un deuxieme signal a I'unite 26 de declenchement 
d'une Interruption non masquable lorsqu'elle detecte, par comparaison, qu'un 
code obtenu dans le registre 21 est different de la valeur de reference 
predeterminee Code-UMCA g^neree sur reception de ce code. 

Sur reception de ce deuxieme signal, les moyens 26 de declenchement 
d'une interruption non masquable envoient un deuxieme signal d'inten-uption 
NMI2 a la memoire d'amorgage 120. 

Ainsi, si un programme hostile ecrit un code aleatoire dans le registre 21, 
les moyens de comparaison 22 declencheront une interruption non masquable 
NMI2. 

Sur reception de ce deuxieme signal d'interruption, le processeur execute 
la routine d'interruption d'alamie IRT2 pour le traitement d'acces frauduleux au 
peripherique P. 
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La figure 2 represente un autre processeur 210 conforme a la presente 
invention dans un autre mode de realisation. 

La seule difference entre ce processeur 210 et le processeur 110 decrit 
precedemment en reference a la figure 1, est que le processeur 210 est utilise 
pour controler I'acces a un p^ripherique P exlerne. 

Toutes les caracteristiques autres etant Identiques, il ne sera pas decrit 
plus en avant ici. 

La figure 3 represente une unite materielle de contrdle d'acces 20, sous 
forme d'un composant exteme k un processeur 1 0. 

Dans ce mode de realisation de I'invenlion, le processeur 10 cooperant 
avec I'unite materielle de controle d'acces 20, comporte une m^moire 
d'amorgage 120 identique a celle decrite precedemment en reference au 
processeur 1 10 de la figure 1 . 

L'unite materielle de controle d'acces 20 de cette figure est identique k 
celle decrite precedemment en reference a la figure 1 et ne sera pas detaillee 
ci-apres. 

La figure 4a represente sous forme d'automate a etats finis les 
princlpales etapes d'un precede de contrdle d'accds conforme a ['invention dans 
un mode prefere de realisation. 

Sur cette figure, les « bulles » represented des etats, les fleches des 
transitions, et les rectangles des conditions necessaires et suffisantes a la 
realisation des transitions. 

Dans la suite de la description, on emploiera indifferemment les 
terminologies « 6tape » ou « etat » connues de I'homme du metier des 
programmes informatiques. 

Get automate comporte un premier etat E10 d'initialisation, duquel on sort 
(transition E15) lorsque la valeur de reference predeterminee Code-UMCA est 
initialisee avec une valeur initiate, par exemple zero, puis memoris^e dans la 
memoire volatile RAM. 

On entre alors dans un etat d'attente E20. 

Lorsque dans cet etat d'attente E20 l'unite materielle de controle d'acces 
regoit un code de d^clenchement Code-DD (transition E25), on entre dans un 
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etat E30 de comparaison de ce code de decienchement Code-DD avec la valeur 
de reference predeterminee Code-UMCA. 

En revanche, lorsque dans cet etat d'attente E20, on detecte un signal 
electrique de demande d'acces CS-RQ au peripherique P (transition E22), on 
5 entre dans un etat E100 de decienchement d'une interruption non nnasquable 
d'alarme NMI2. 

On quitte automatiquement cet etat E100 de decienchement d'une 
interruption non masquable d'alarme NMI2, pour entrer dans un etat E110 de 
gestion d'alarme. 

10 Dans un mode de realisation prefere, Tetat E110 de gestion d'alarme 

entrame ['execution d'un code terminal, (generation d'une condition de RESET). 
Dans d'autres modes de realisations, diverses reactions sont envisagoables en 
fonction de Tapplication. Ces modes de realisation ne sont pas Tobjet de ce 
brevet et ne seront pas detailles ici. 
15 Une fois cette procedure de gestion d'alarme terminee, on peut effacer 

I'alarme et revenir dans Tetat E20 d'attente decrit precedemment 

Lorsque depuis Petat E30 de comparaison, on determine que le code de 
decienchement Code-DD est different de la valeur de reference predeterminee 
Code-UMCA (transition E85), on entre dans Petat E100 de decienchement d'une 
20 interruption d'alarme non masquable NMI2 decrit precedemment. 

En revanche, lorsque depuis Tetat E30 de comparaison, on determine que 
la valeur du code de decienchement Code-DD est egale a la valeur de reference 
predeterminee Code-UMCA (transition E31), on entre dans un etat E32 de 
generation d'une nouvelle valeur de reference predeterminee Code-UiVlCA selon 
25 la loi d'incrementation predeterminee. 

Cet etat E32 de generation d'une nouvelle valeur de reference Code- 
UMCA, est suivi d'un etat E34 de decienchement d'une interruption non 
masquable de controle NM11. 

Une fois cette interruption non masquable de controle NMI1 declenchee, 
30 on entre dans un etat E36 d'attente d'un code d'autorisation d'acces Code-AA. 

Si dans cet etat E36 d'attente d'un code d'autorisation d'acces code AA, 
on detecte un signal electrique de demande d'acces CS-RQ (transition E90) , on 
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entre dans i'etat E100 de declenchement d'une interruption d'alarme non 
masquable NM12. 

En revanche, lorsque dans I'etat E36 d'attente, on obtient un code 
d'autorisation d'acces Code-AA (transition E37) , on entre dans un etat E38 de 
comparaison de ce code d'autorisation d'acces Code-AA avec une nouvelle 
valeur de reference courante Code-UIVICA. 

Si au cours de cette etat £38 de comparaison on determine que (e code 
d'autorisation d'acces Code-AA est different de la valeur de reference Code- 
UMCA (transition E95). on entre dans I'etat E100 de declenchement d'une 
inten-uption non masquable d'alarme NMI2. 

En revanche, si ces deux valeurs sont egales (transition E39), on sort de 
I'etat E38 de comparaison pour entrer dans un etat E40 de generation d'une 
nouvelle valeur de reference Code-UMCA. 

On sort automatiquement de cet etat E40 de generation pour entrer dans 
un etat E50 de generation d'un signal electrique de validation SIG-VAL du signal 
d'acces au peripherique P. 

Ensuite, et automatiquement, on quitte cet etat E50 de generation du 
signal electrique de validation SIG-VAL pour entrer dans un etat E60 dans lequel 
on attend que I'acces au peripherique P ait effectivement lieu. 

Lorsque dans cet etat E60 d'attente on d^tecte que I'acces a 
effectivement eu lieu (transition E65), on entre dans un dtat E70 dans lequel on 
inhibe le signal de validation SIG-VAL. 

On sort ensuite automatiquement de cet etat E70 d'inhibition pour 
retoumer a I'etat d'attente E20 d^crit precedemment. 

Dans un autre mode de realisation, lorsque dans I'etat E60 d'attente on 
d^tecte I'obtention d'un code dans le registre 21 (transition E67), on entre dans 
I'etat E100 de declenchement d'une interruption non masquable d'alarme NMI2, 
ce code d'autorisation d'acces ayant necessairement ete envoye a I'unite 
materielle de controle d'acces par un tiers mal intentionne. Ce mode de 
realisation permet de renforcer la securite du systems en detectant des acces 
frauduleux au peripherique aprds la validation de I'acces (etat E60). 

La figure 4b represente un diagramme d'etat d'un proc4de de controle 
d'acces conforme a I'invention dans un deuxieme mode de realisation. 
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Ce mode de realisation de Tinvention, est simplifie dans !e sens, ou 11 ne 
oomporte pas d'etape E25 de reception d'un code de declenchement Code-DD. 
Bien entendu toute etape (E30, E31, E32, E85) de traitement de ce code de 
declenchement Code-DD est supprimee. 
5 L'etape E25 est remplacee par une etape E26 de declenchement, celul-ci 

pouvant se realiser par tout moyen connu de I'homme du metier susceptible de 
generer une interruption. 

L'etape E26 de declenchement est suivle automatiquement par l'etape 
E34 de generation d'une interruption non masquable NMI1 de controle decrite en 
10 reference a la figure 4a, 

Dans ce mode de realisation, le code d'autorisation Code-AA etant une 
constante, l'etape E40 de generation d'une valeur de reference Code-UMCA est 
supprimee. 

La routine dinterruption de controle IRT1 presente dans le registre 21 la 
15 valeur memorisee par le programme informatique PROG dans la memoire 
protegee. 

Nous allons maintenant decrire en reference a la figure 4c un troisieme 
mode de realisation du procede de controle d'acces conforme a ('invention. 

Dans ce mode de realisation, on ne verifie pas, aupres du processeur, 
20 que le code d'autorisation d'acces Code-UMCA obtenu en provenance du 
programme informatique PROG (transition E25) est un code cerlifie par le 
processeur. 

Ainsi, il n'est pas genere d'interruption non masquable de contrdle NMI1, 
i'acces au peripherique etant automatiquement valide lorsque le code 
25 d'autorisation d'acces Code-AA est identique a la valeur de reference 
predeterminee Code-UMCA (transition E31). 

L'execution de ce procede simplifie est done plus rapide, le cycle de 
controle etant supprime. 

Preferentiellement, ce troisieme mode de realisation ne comporte pas non 
30 plus de generation d'une interruption non masquable d'alarme (E100) en cas 
d'attaque frauduleuse, mais entraTne un retour dans I'etat d'attente E20. 

Ainsi, et plus precisement, ce troisieme mode de realisation est identique 
au premier decrit en reference a la figure 4a, a la difference pres que : 
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- elle ne comporte pas d'etat E100 de declenchement d'une interruption 
non masquable d'alarme NMI2, et lorsque dans Tetat E30 de oomparaison, on 
determine que le code d'autorlsation d'acces Code-AA est different de la valeur 
de reference predeterminee Code-UMCA, on relourne a I'etat d*attente E20 ; 

5 - les autres transitions (E22, E90 et E67) transitions decrites 

precedemment en reference a la figure 4a vers cet etat E100 de declenchement 
d'une interruption non masquable d'alarme sont supprimees ; 

- elle ne comporte pas d'etat E34 de declenchement d'une interruption 
non masquable de controle NMI1, Tetat E32 de generation d'une valeur de 

10 reference Code-UMCA etant automatiquement suivi par I'etat E50 de validation 
d'acces. 

L'invention concerne egalement un quatrieme mode de realisation du 
precede de controle d'acces conforme a Tinvention, identique au troisieme mode 
de realisation decrit ci-dessus en reference a la figure 4c, a la seule difference 

15 pres que Ton entre directement dans Tetat E50 de validation du signal d'acces 
SIG-VAL lorsqu'au cours de I'etat E30 de comparaison du code d'autorisation 
d'acces Code-AA avec la valeur de reference Code-UMCA, on determine que 
ces deux valeurs sont egales (transition E31). Ce mode de realisation est 
represente par le diagramme d'etats finis de la figure 4d. 

20 La figure 5 represente les principales etapes E500 a E520 d'une routine 

d'interruption non masquable de controle IRT1 mise en ceuvre par un processeur 
conforme a Tinvention dans un mode prefere de realisation. 

Cette routine est activee lorsque I'unite materielle de controle d'acces 20 
genere une interruption non masquable de controle NMI1 . 

25 La routine IRT1 decrite ici comporte une premiere etape E500 au cours de 

laquelle on memorise dans une variable VA le contenu d'une variable Code-AA 
comportant le code d'autorisation d'acces du meme nom. 

Dans le mode de realisation decrit en reference k la figure 4a Fetape E500 
de lecture du code d'autorisation d'acces Code-AA est suivie par une etape 

30 E510 au cours de laquelle on genere un nouveau code d'autorisation d'acces 
Code-AA selon la loi predeterminee decrite precedemment. Au cours de cette 
meme etape, on memorise cette nouvelle valeur du code d'autorisation d'acces 
Code-AA dans la memoire protegee. 
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L'etape E510 de generation et de memorisation du nouveau code 
d'autorisation d'aoces Code-AA est suivie par una etape E520 d'envoi du 
Gontenu de la variable VA a I'unite materielle de controle d'acces 20. 

Dans le mode de realisation prefers decrit ici, cette etape d'envoi consiste 
a 6crire le contenu de la variable VA dans le registre 21 . 

Dans le mode de realisation d^orit en reference a la figure 4b, l'etape 
E500 de lecture du code d'autorisation d'acces Code-AA est suivie par cette 
6tape E520. 

Quoi qu'il en soit, l'etape E520 d'envoi du code d'autorisation d'acces est 
suivie par une instruction de type I RET connue de I'homme du metier, qui 
consiste d'une part a effacer la source de I'lntermption NMI1 et k revenir de 
ladite interruption. 

Le procede de gestion d'acces conforme a I'invention comporte, de fagon 
optionnelle, une routine d'interruption d'alarme IRT2 en reponse a une 
interruption non masquable NM12 en provenance de I'unite materielle de controle 
d'acces 20. 

Cette interruption non masquable d'alamne consiste essentiellement a 
generer une alerte et/ou ^ trailer I'acces non autorise selon des regies 
adequates. 

La figure 6 repr6sente les principales etapes E600 a E630 d'un 
programme informatique PROG comportant des instructions d'acc^ k un 
peripherique P s6curis6 conformement a Tinvention, dans le mode de realisation 
de la figure 4a. 

Ce programme informatique comporte deux Stapes E600 et E610 
identiques ou similaires respectivement aux etapes E500 de lecture du code 
d'autorisation d'acces, et E510 de generation et de memorisation d'un code 
d'autorisation d'acces decrit precedemment en reference k la figure 5. 

Ainsi, au cours de ces deux etapes, le programme informatique P 
memorise dans une variable VA le contenu du code de declenchement Code-DD 
courant, gendre selon la loi predeterminee (loi d'incrementation) un nouveau de 
declenchement Code-DD, et memorise cette nouvelle valeur dans la memoire 
securis^e partagee avec la routine d'inten-uption IRT1 . 
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Prealablement a chaque etape E630 dracoes au peripherique P, le 
programme informatique PROG comporte una etape E620 au cours de iaquelle 
on envoie le contenu de la variable VA a Tunite de controle materiel d'acces 20, 
ce qui revient, dans le mode de realisation decrit ici, a ecrire le contenu de cette 
5 variable dans le registre 21 . 

Cette etape E620 d'envoi du code d'autorisation d'acces VA a Tunite de 
controle materiel d'acces 20 est suivie par Tetape E630 d'acces au peripherique 
P. 

Dans une mise en oeuvre de Tinvention selon le mode de realisation de la 
10 figure 4b, le programme informatique PROG comporte une etape E610' de 
memorisation d'une valeur constante dans la memoire protegee du processeur, 
puis une etape E620' de declenchement de la premiere interruption de controle 
non masquable 1RT1, prealablement a Tetape E630 d'acces au peripherique. 

Apres I'acces, une valeur quelconque differente de ladite constante est 
15 memorisee dans la memoire protegee du processeur. 

Cette etape peut egalement etre realisee par la routine d'interruption de 
controle IRT1. 
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REVEMDICATiQNS 

1 - Unite materielle de controie d'acces (20) a un peripherique (P), 
caracterisee en ce qu'elle comporte : 

- des moyens (21) d'obtention d'un code d'autorisation d'acc^s (Code-AA) 

audit peripherique (P) ; 

- des moyens (22) de comparaison dudit code d'autorisation d'acc^s 
(Code-AA) avec une valeur de reference predeterminee (Code-UMCA) ; et 

- des moyens dits de validation (22, 23, 25) adapt§s a g§n6rer un signal 
electrique de validation (SIG_VAL) d'un signal eleotrique d'acces (CS, WE, 
PWR) audit peripherique (P) en fonction du resultat de ladite comparaison. 

2 - Unite materielle de controie d'acces selon la revendication 1, 
caracterise en ce quelle comporte des moyens (26) de declenchement d'une 
interruption non masquable d'alarme (rMMI2), lorsque ledit code d'autorisation 
d'acces (Code-AA) est different de la valeur de reference predeterminee (Code- 
UMCA). 

3 - Unlt6 materielle de controie d'acces selon la revendication 1 ou 2, 
caract6ris6e en ce que ladite valeur de reference predeterminee (Code-UMCA) 
est une constante. 

4 - Unite materielle de controie d'acces selon la revendication 1 ou 2, 
caracterisee en ce qu'elle comporte des moyens (24) de generation de ladite 
valeur de reference (Code-UMCA) selon une loi predeterminee. 

5 - Unite materielle de contrdle d'acces selon la revendication 4, 
caracterisee en ce que ladite valeur de reference predeterminee (Code-UMCA) 
est un compteur initialise a la mise sous tension de ladite unite materielle 
(UMCA), et en ce que ladite loi predeterminee consiste a incrementer ledit 
compteur a chaque obtention dudit code d'autorisation d'acces (Code-AA). 

6 - Unite materielle de controie d'acces selon Tune quelconque des 
revendications 1 a 5, caracterisee en ce qu'elle comporte : 

- des moyens (26) de declenchement d'une interruption non masquable 

de controie (NMI1) et; 

- des moyens (21) d'obtention dudit code d'autorisation d'acces (Code- 
AA) consecutivement audit declenchement. 
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7 - Unite materielle de controle d'acces selon I'une quelconque des 
revendlcations 1 a 6, caracterisee en ce que lesdits moyens de validation (22, 
23, 25) comportent des moyens de combinaison logique (25) adaptes a : 

- recevoir un signal electrique de demande d'acces (CS-RQ, WE-RQ) 
5 audit peripherique (P) ; 

- recevoir ledit signal de validation (SIG_VAL) ; et 

- valider ledit signal electrique d'acces (CS, WE) en fonction d'un etat 
(RQ_0, RQ_1) dudit signal electrique de demande d'acces (CS-RQ, WE-RQ), 
d'un etat (VAL__0, VAL_1) dudit signal de validation, et d'une logique representee 

10 dans une table de verite (25). 

8 - Unite materielle de controle d'acces selon la revendication 7, 
caracterisee en ce qu'elle comporte des moyens (26) de lecture d'un etat (RQ_0, 
RQ_1) dudit signal electrique de demande d'acces (CS„RQ, WE_RQ), et des 
moyens (26) de declenchement d'une interruption non masquable d'atarme 

15 (NM12) en fonction de cet etat (RQ_0, RQ_1) et dudit etat (VAL_0, VAL_1) dudit 
signal electrique de validation d'acces (SIG_VAL). 

9 - Unite materielle de controle d'acces selon Pune quelconque des 
revendications 1 a 8, caracterisee en ce qu'elle comporte des moyens d'inhibition 
(23) dudit signal de validation (SIG^VAL). 

20 10 — Unite materielle de controle d'acces selon la revendication 9, 

caract6rise en ce que lesdits moyens d'inhibition (23) sont adaptds a inhiber ledit 
signal de validation (SIG„VAL) consecutivement a au moins un acces audit 
peripherique (P). 

11 - Unite materielle de contr6le d'acces selon la revendication 9 ou 10, 
25 caracterisee en ce que lesdits moyens d'inhibltion (23) sont adaptes a inhiber 

ledit signal de validation (SIG„VAL) apres un delai predetermine compte a partir 
de la generation dudit signal electrique de validation d'acces (SIG_VAL), ou a 
partir de I'obtention dudit code d'acces (Code-AA), 

12 - Processeur (110) caracterise en ce qu'il comporte une unite 
30 materielle de controle d'acces (20) selon Tune quelconque des revendications 1 

a11. 
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13 - Processeur selon la revendication 12, caracterise en ce qu'il 
comporte en outre des moyens (IRT1) d'envoi dudit code d'autorisation d'acces 
(Code-AA) a ladite unite materielle de controle d'acces (20). 

14 - Processeur selon la revendication 13, caracterise en ce qu'il 
5 comporte en outre des moyens de lecture dudit code d'acces (Code-AA) a partir 

d'une memoire protegee en vue dudit envoi. 

15 - Processeur selon la revendication 13, caracterise en ce qu'il 
comporte en outre des moyens (VECT) de mise en ceuvre- d'une routine 
d'interruption de contrdle (IRT1) adaptee a gen^rer ledit code d'acces (Code-AA) 

10 selon une loi predeterminee, en vue dudit envoi 

16 - Processeur selon la revendication 15, caracterise en ce que ledit 
code d'acces (Code-AA) est un compteur et en ce que ladite loi predeterminee 
consiste a initialiser ledit compteur (Code-AA) lors de la mise sous tension dudit 
processeur (110), et a incrementer ledit compteur a chaque envoi dudit code 

15 (Code-AA) a ladite unit§ materielle (20). 

17 - Processeur selon I'une quelconque des revendications 12 a 16, 
caracterise en ce qu'il comporte en outre des moyens (VECT) de mise en ceuvre 
d'une routine d'interruption d'alarme (IRT2) adaptee a generer une alerte et/ou a 
inhiber I'utilisation dudit peripherique (P). 

20 18 - Processeur selon I'une quelconque des revendications 12 ^ 17, 

caracterise en ce qu'il comporte ledit peripherique (P), celui-ci pouvant 
notamment etre choisi parmi un controleur d'ecriture dans une memoire 
d'amorgage (120) dudit processeur, une unite de gestlon de memoire (I\/IMU). 

19 - Precede de controle d'acces a un peripherique (P), caracterise en ce 

25 qu'il comporte les etapes suivantes : 

- obtention (E37) d'un code d'autorisation d'acces (Code-AA) audit 
peripherique (P) ; 

- comparaison (£38) dudit code d'autorisation d'acces (Code-AA) avec 
une valeur de reference predeterminee (Code-UMCA) ; 

30 - generation (E50) d'un signal electrique de validation (SIG_VAL) d'un 

signal d'acces (CS, WE. PWR) audit peripherique (P) en fonction du r^sultat de 
ladite etape de comparaison (E30). 
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20 - Procede de controie d'acces selon la revendicatlon 19 caracterlse en 
ce qu'elle comporte une etape (E100), de declenchement d'une interruption non 
masquable d'alarme (NM12) lorsque ledit code d'autorisation d'acces (Code-AA) 
est different de la valeur de reference predetermine (Code UMCA). 

21 - Procede de controie d'acces selon la revendicatlon 19 ou 20, 
caracterlsee en ce que ladite valeur de reference pr^determlnee (Code-UMCA) 
est une constante. 

22 - Precede de controie d'acces selon ia revendication 19 ou 20 
caracterisd en ce qu'il comporte en outre une etape (E40) de generation de 
ladite valeur de reference (Code-UMCA) selon une lol predeterminee. 

23 - Procede de controie d'acces selon la revendication 22, caracterise en 
ce que ladite valeur de reference predeterminee (Code-UMCA) etant un 
compteur, il comporte en outre une etape de d'initialisation (E10) dudit compteur, 
et en ce que ladite etape (E40) de generation, consiste a incr^menter ledit 
compteur (Code-UMCA) a chaque obtention dudit code d'autorisation d'acces 
(Code-AA), 

24 - Procede de contrdle d'acces selon I'une quelconque des 
revendlcations 19 a 23, caract§ris6 en ce qu'il comporte en outre : 

- une etape (E34) de declenchement d'une interruption non masquable de 
controie (NMI1) ; et 

- une etape (E37) d'obtention dudit code d'acces (Code-AA) 
cons§cutivement audit declenchement. 

25 - Procede de controie d'acces selon la revendication 24, caracterise 
en ce que ladite etape de declenchement (E34) est effectuee consecutivement a 
une etape d'obtention (E25) d'un code de declenchement (Code-DD). 

26 - Procede de controie d'acces selon I'une quelconque des 
revendlcations 19 a 25, caracterise en ce que, au cours de ladite etape (E50) de 
generation du signal de validation : 

- on lit I'etat (RQ_0, RQ_1) d'un signal ^lectrique (CS-RQ, WE-RQ) de 
demande d'acces audit peripherique (P) ; 

- on lit I'etat (VAL_0, VAL_1) dudit signal de validation (SIG_VAL) ; et 

- on valide ledit signal electrique d'acces (CS, WE) en fonction dudit etat 
(RQ_1) dudit signal electrique de demande d'acces (CS_RQ, WE_RQ), dudit 
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etat (VAL_1) du signal de validation (SIG^VAL), et en fonctlon d'une regie 
logique. 

27 - Procede de controle d'acces selon la revendication 26, caracterise en 
ce qu'il comporte une etape (E20, E36) de lecture d'un etat (RQ_0, RQ_1) dudit 

5 signal electrique de demande d'acces (CS_RQ, WE„RQ), et une etape (E100) 
de declenchement d'une interruption non masquable d'alarme {NMI2) en 
fonctlon dudit etat (RQ_0, RQ_1) et dudit etat (VAL^O, VAL_1) dudit signal 
electrique de validation d'acces (SIG_VAL). 

28 - Procede de controle d'acces selon I'une quelconque des 
10 revendications 19 a 27, caracterise en ce quil comporte une etape (E70) 

d'inhibition dudit signal de validation (SIG_VAL). 

29 - Procede de controle d'acces selon la revendication 28, caracterise 
en ce que ladite etape (E70) d'inhibition est effectuee consecutlvement a au 
moins une etape d'acces (E65) audit peripherique (P). 

15 30 - Procede de controle d'acces selon la revendication 28 ou 29, 

caracterise en ce que ladite etape d'inhibition est effectuee apres un delai 
predetermine compte a partir de ladite etape (E50) de generation du signal de 
validation {SIG_VAL) ou a partir de I'etape (E25) d'obtention dudit code de 
declenchement (Code-DD). 

20 31 - Procede de gestion d*acces a un peripherique (P), caracterise en ce 

qu'il comporte une etape de mise en oeuvre d'une routine (IRT1) associee a une 
interruption non masquable de contr6le (NMI1), ladite routine de controle 
comportant une etape (E520) d'envoi d'un code d'autorisation d'acces (Code- 
AA) a une unite materielle de controle d'acces (20) conforme a Tune quelconque 

25 des revendications 1 a 11 , 

32 - Procede de gestion d'acces a un peripherique (P) selon la 
revendication 31, caracterise en ce qu'il comporte une etape de lecture dudit 
code d'acces (Gode^AA) a partir d'une memoire protegee en vue dudit envoi. 

33 - Procede de gestion d'acces a un peripherique (P) selon la 
30 revendication 31, caracterise en ce qu'H comporte une etape (E510) de 

generation, selon une loi predeterminee, d'un code d'autorisation d'acces (Code- 
AA) audit peripherique (P), en vue dudit envoL 
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34 - Precede de geslion d'acces selon la revendication 33, caracterls^ en 
ce que iedit code d'autorisation d'acces (Code-AA) etant un compteur, ii 
comporte en outre une etape d'initialisation dudit compteur (Code-AA), et en ce 
que ladite etape (E510) de generation consiste a Incrementer Iedit compteur 

5 (Code-AA) prealablement a cliaque envoi (S100) dudit code d'autorisation 
d'acces (Code-AA) k ladite unite materielle (20). 

35 - Proc6d6 de gestlon d'acces selon I'une quelconque des 
revendications 31 k 34, caracterise en ce qu'il comporte en outre une etape de 
mise en oeuvre d'une routine d'interruption non masquable d'alarme (IRT2), 

10 ladite routine d'alarme comportant une etape de generation d'une alerte et/ou 
d'Inhibition de I'utilisation dudit peripherique. 

36 - Programme informatique comportant une instruction (E630) d'acces a 
un peripherique (P), caracterise en ce qu'il comporte une instruction (E620) 
d'envoi d'un code de declenchement (Code-DD) a une unite mat§rielle de 
controie d'acces (20) dudit periplierique (P) conforme a I'une quelconque des 
revendications 1 a 1 1, prealablement a I'execution de ladite instruction d'accesi ' 

37 - Programme informatique selon la revendication 36, caracterise en 6& 
qu'il comporte en outre des moyens de generation dudit code de declenchement 
(Code-DD) selon ladite loi predeterminee. 

38 - Processeur adapte a mettre en oeuvre un precede de controie 
d'acces conforme a I'une quelconque des revendications 19 a 30 eVou un 
precede de gestion d'acces conforme a I'une quelconque des revendications 31 
a 35 et/ou un programme informatique conforme a la revendication 36 ou 37. 

39 - Utilisation d'une unite materielle de controie d'acces (20) selon I'une 
25 quelconque des revendications 1 a 11, pour valider un signal d'acces a un 

peripherique (P) pouvant notamment etre choisi parmi un ecran, un clavier, une 
memoire, un controleur d'une interface de communication, une unite de gestion 
memoire (MMU) ou une unite de protection de memoire (MPU). 
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